Noch eine kleine Regel für Spamassassins local.cf, die Mails aussortiert, die versteckte Links auf Pillenseiten enthalten. Da die URLs Leerzeichen enthalten, greifen die Blacklists (z.B. URIBL_BLACK) leider nicht.
body OBFU_MEDS_LINK /www\.\s+[a-z]{2,3}\d{2}\.\s+(com|net)/
describe OBFU_MEDS_LINK Contains disguised link to meds
score OBFU_MEDS_LINK 1.1
Die Regel trifft zu, wenn die URL ungefähr so aussschaut: www. abc11. net
Also:
www[Punkt][whitespace][2-3 Kleinbuchstaben][2 Zahlen][Punkt][whitespace][com oder net]
Etwas allgemeiner gehalten ist folgende Regel:
body OBFU_MEDS_LINK2 /[. ]www[\W_]+[a-z]{2,3}\d{2}[\W_]+(com|net)/
describe OBFU_MEDS_LINK2 Contains disguised link to meds
score OBFU_MEDS_LINK2 1.1
Die Regel trifft zu auf:
[Punkt oder Leerzeichen]www[nicht alphanumerische Zeichen][2-3 Buchstaben][2 Zahlen][nicht alphanumerische Zeichen][com oder net]